Netzwerkzugriffssteuerung Was ist die Netzwerkzugriffssteuerung (NAC)?
Die Steuerung des Zugriffs auf digitale Ressourcen ist eine wichtige IT-Sicherheitsfunktion für Unternehmen. Lösungen zur Netzwerkzugriffssteuerung (NAC) ermöglichen der IT-Abteilung, Benutzern und Geräten den Zugriff auf Ressourcen innerhalb des Netzwerks zu erlauben oder zu verweigern. NAC spielt eine wichtige Rolle beim Ressourcenzugriff mit den geringsten Rechten, der als Grundlage für Zero Trust-Strategien dient.
- NAC erklärt
- Warum ist NAC wichtig?
- Wie funktioniert NAC?
- Was sind Beispiele für NAC?
- Wie wähle ich eine NAC-Lösung aus?
NAC erklärt
Netzwerkzugriffssteuerungen schränken den Zugriff auf Ressourcen durch Benutzer und Geräte basierend auf von der IT-Abteilung festgelegten Regeln ein. In ähnlicher Weise, wie Türschlösser und Sicherheitsplaketten Eindringlinge am Zutritt zu physischen Unternehmensressourcen wie Gebäuden und Büros hindern, schützen Netzwerkzugriffssteuerungen digitale Ressourcen vor unbefugtem Zugriff.
Warum ist NAC wichtig?
- Sicherheit – Netzwerkzugriffssteuerungen schützen Ressourcen vor Manipulationen und Diebstahl durch böswillige Akteure. NAC-Lösungen stellen sicher, dass nur Benutzer und Geräte mit ordnungsgemäßer Berechtigung auf das Netzwerk und Netzwerk-Ressourcen zugreifen können. Darüber hinaus können manche NAC-Lösungen Subjekte erkennen, die an einem Angriff beteiligt sind und diese unter Quarantäne stellen oder den Zugriff dieser Subjekte bis zum Abschluss weiterer Untersuchungen sperren. Diese Funktionalität kann die Verbreitung von Angriffen verhindern.
- Datenschutz – Unternehmen arbeiten mit einem größeren Volumen und einer größeren Vielfalt von Daten als je zuvor. Manche dieser Daten sind sensibel und/oder vertraulich. Lösungen zur Netzwerkzugriffssteuerung ermöglichen Unternehmen, festzulegen, wer, was, wann und wie auf Daten innerhalb des Netzwerks zugreifen kann, um das Risiko von Datenschutzverletzungen zu reduzieren.
- Compliance – Regulierte Unternehmen müssen häufig Datenschutzvorschriften einhalten, z. B. die Datenschutzgrundverordnung (DSGVO), Health Insurance Portability and Accountability Act (HIPAA) und Sarbanes-Oyley (SOX). NAC-Lösungen können Unternehmen dabei unterstützen, diese Vorschriften einzuhalten, indem sie den Zugriff auf Daten beschränken, den Datenverkehr sicher und separat halten sowie Protokolle und Berichte für Audits bereitstellen.
Wie funktioniert NAC?
Netzwerkzugriffssteuerung basiert auf dem Konzept, dass unterschiedliche Benutzer und Geräte (Subjekte) unterschiedliche Zugriffsrechte erhalten, die auf ihrem Bedarf basieren. Granularität bezeichnet die Detailstufe, mit der ein Subjekt, sein Bedarf sowie seine zugehörigen Zugriffsberechtigungen definiert und umgesetzt werden können. Hochgranulare Netzwerkzugriffssteuerungen sind eine wichtige Komponente von Zero Trust Sicherheitskonzepten, um den Zugriff eines Subjekts auf nur die Ressourcen zu beschränken, die zur Bewältigung ihrer Arbeit oder zur Erfüllung ihrer Funktion erforderlich sind.
Für einen effektiven Ressourcenschutz müssen Lösungen zur Netzwerkzugriffssteuerung mehrere miteinander verknüpfte Funktionen bieten, die durch eine Mischung aus Technologien ermöglicht werden.
Was sind Beispiele für NAC?
NAC-Lösungen ermöglichen sicheren Zugriff auf Ressourcen innerhalb einer Organisationsstruktur. Beispielsweise nutzt ein Krankenhaus eine NAC-Lösung für die Profilierung, den Schutz und die Anbindung autorisierter IoT-Geräte, während andere ausgeschlossen werden. Ein Abwicklungszentrum nutzt NAC-Lösungen, um alle kabelgebundenen oder kabellosen Geräte zu authentifizieren, die auf das Netzwerk zugreifen – beispielsweise Robots – und konsistente, rollenbasierte Richtlinien zu implementieren. Ein Schulsystem nutzt eine NAC-Lösung, um Lernende, Lehrende, Personal und Gäste zu authentifizieren und eine granulare Segmentierung des Datenverkehrs zu ermöglichen, die auf festgelegten Regeln basiert.
Wie wähle ich eine NAC-Lösung aus?
Berücksichtigen Sie bei der Auswahl einer NAC-Lösung Folgendes:
- Interoperabilität und anbieterneutrale Funktionen, um kostspielige Add-ons und Anbieterabhängigkeiten zu vermeiden
- Nachgewiesene Fähigkeit, den Datenverkehr zu schützen und zu separieren
- Service-Verfügbarkeit zur Unterstützung maximaler Betriebszeiten und eines unterbrechungsfreien Betriebs
- Skalierbarkeit zur parallelen Unterstützung Hunderter oder Tausender Endgeräte
- Marktführerschaft und Auszeichnungen, die die Fähigkeit belegen, Cyber-Risiken zu reduzieren, wie z. B. Cyber CatalystSM by Marsh
NAC-Elemente
| Merkmale | Funktion | Technologien |
|---|---|---|
| Transparenz | Wissen, wer und was sich zu einem gegebenen Zeitpunkt im Netzwerk befindet | Physische oder virtuelle Datenerfassungen: aktive (NMAP, WMI, SNMP, SSH) und passive (SPAN, DHCP, NetFlow/S-Flow/IPFIX) Discover-Methoden; KI-/ML-gestützte Erstellung von Geräteprofilen; Deep Packet Inspection |
| Authentifizierung | Zuverlässige Feststellung, dass ein Benutzer oder Gerät auch ist, wer/was er/sie/es vorgibt zu sein | 802.1x Authentifizierung; EAP-TLD, RADIUS, TAC-ACS; Multi-Faktor-Authentifizierung; Zertifikate |
| Richtliniendefinition | Definieren von Regeln für Benutzer und Geräte in Bezug auf die Ressource, auf die sie Zugriff erhalten, und wie auf Ressourcen zugegriffen werden kann | Tools zur Regelformulierung, die kontextuelle Parameter wie Rolle, Gerätetyp, Authentifizierungsmethode, Gerätestatus, Datenverkehrsmuster, Standort sowie Uhrzeit beinhalten können |
| Autorisierung | Bestimmen der geeigneten Regeln für die jeweiligen authentifizierten Benutzer oder Geräte | |
| Durchsetzung | Gestatten, Verweigern oder Widerrufen des Zugriffs eines authentifizierten Benutzers oder Geräts auf eine Ressource basierend auf der entsprechenden Richtlinie | Integration und bidirektionale Kommunikation mit Firewalls und anderen Sicherheits-Tools |
Wofür wird NAC verwendet?
NAC-Lösungen wie HPE Aruba Networking ClearPass können mehrere Anwendungsfälle für sichere Konnektivität innerhalb von Unternehmen ermöglichen:
| NAC für Gäste und Zeitarbeitskräfte | Mit ClearPass Guest können Empfangsmitarbeiter, Veranstaltungskoordinatoren und andere IT-fremde Mitarbeitende einfach und effizient temporäre Netzwerkzugriffskonten für eine beliebige Anzahl von Gastbenutzern pro Tag erstellen. ClearPass Guest bietet ebenfalls ein kundenspezifisches Portal zur Selbstregistrierung, das Besuchern ermöglicht, ihre eigenen Zugangsdaten zu erstellen, die anschließend über einen zuvor definierten Zeitraum in ClearPass gespeichert werden, der automatisch abläuft. |
|---|---|
| NAC für Bring Your Own Device (BYOD) | ClearPass Onboard konfiguriert und implementiert Mobilgeräte automatisch, um eine sichere Verbindung zu Unternehmensnetzwerken zu ermöglichen. Mitarbeitende können ihre eigenen Geräte selbst konfigurieren, indem sie die geführte Registrierung durchführen und die Verbindungsanweisungen befolgen. Gerätespezifische Zertifikate werden verwendet, um sicherzustellen, dass die Benutzer ihre Geräte mit minimalen Eingriffen durch die IT-Abteilung sicher mit den Netzwerken verbinden können. |
| NAC zur Bewertung der Endgerätesicherheit | ClearPass OnGuard führt eine Bewertung der Endpunkt-/Gerätesicherheit durch, um zu gewährleisten, dass die Sicherheits- und Compliance-Anforderungen erfüllt sind, bevor die Geräte mit dem Unternehmensnetzwerk verbunden werden. So können Unternehmen vermeiden, dass Schwachstellen in ihre IT-Umgebungen eingebracht werden. |
| NAC für IoT-Geräte (Internet der Dinge) | ClearPass Device Insight bietet vollständige Transparenz hinsichtlich mit dem Netzwerk verbundener Geräte durch Risiko-Scoring und maschinelles Lernen, um unbekannte Geräte zu erkennen und die Zeit bis zur Identifizierung zu verkürzen. ClearPass Device Insight überwacht ebenfalls das Verhalten von Datenverkehrs-Strömen und bietet so zusätzliche Sicherheit. |
| NAC für kabelgebundene Geräte | ClearPass OnConnect ermöglicht eine sichere kabelgebundene Zugriffssteuerung für Geräte wie Drucker und VoIP-Telefone, die sich nicht mithilfe von 802.1x authentifizieren. |
| Cloud-native NAC | HPE Aruba Networking Central Cloud Auth lässt sich in herkömmliche Cloud-Identitätsspeicher integrieren, um ein nahtloses Cloud-basiertes Onboarding sowie sichere rollenbasierte Richtlinien für Benutzer und Geräte zu ermöglichen. |
